Estoy investigando métodos para reducir la velocidad a la que los atacantes pueden realizar intentos de fuerza bruta contra los servicios SSH y HTTP de mi servidor web.
Me he encontrado con muchos artículos, así como con la página de manual iptables-extensions que sugiere limitar el número de conexiones paralelas que puede hacer una dirección IP, usando reglas como
iptables -A INPUT -p tcp -syn -m multiport --dport 80,443 -m connlimit --connlimit-above 20 -j REJECT
Lo que solo permitirá 20 conexiones por IP en un momento dado.
Dado que los protocolos HTTP 1.1 y HTTP 2.0 (no estoy seguro acerca de SSH) admiten la multiplexación tcp y que, de manera predeterminada, los servidores web como Apache mantendrán las conexiones TCP inactivas activas con la directiva KeepAlive , pensé que una herramienta de fuerza bruta solo necesitaría para establecer un número bajo de conexiones y esas conexiones podrían admitir muchas solicitudes y respuestas repetidas durante un largo período de tiempo
p.ej. es posible que un navegador solo necesite 6-8 conexiones en un momento dado, pero esas conexiones admitirán muchas solicitudes / respuestas HTTP.
- ¿Alguien sabe por experiencia cuántas conexiones TCP paralelas intentará abrir una herramienta de fuerza bruta?
- ¿Y también son efectivas las reglas de cortafuegos de limitación de velocidad como esta?